Dieser Artikel betrifft Sie nur, falls Sie Ihre Webseite per HTTPS betreiben.
Auf der aktuellen Black Hat-Konferenz wurde ein neuer Angriff gegen SSL/TLS vorgestellt, von dem unsere Kunden betroffen sein könnten: BREACH. Bei dem Angriff wird – vereinfacht gesagt – ein Zusammenspiel von HTTP-Komprimierung und SSL/TLS-Verschlüsselung ausgenutzt, um die Verschlüsselung auszuhebeln.
Der beste Schutz besteht darin, die HTTP-Komprimierung auszuschalten. Dies ist auch die Standardeinstellung auf unseren Servern. Sie kann jedoch per .htaccess
manuell aktiviert werden und es ist nicht auszuschließen, dass dies bei Ihnen unbemerkt geschah, sofern Sie Drittsoftware installiert haben.
Ob Ihre Webseite betroffen ist, können Sie leicht mit Hilfe des curl
-Tools testen:
curl -I -H "Accept-Encoding: gzip" https://IHRE-WEBSEITE
Falls die Antwort kein Content-Encoding: gzip
enthält, ist Ihre Webseite nicht betroffen.
Sollten Sie keinen Rechner zur Verfügung haben, auf dem curl
installiert ist, können Sie sich auch einfach per SSH auf Ihrem Webserver anmelden und die Befehlszeile dort ausführen.
Als grobe Faustregel gilt: Falls Sie
.htaccess
-Datei mit einer Zeile ähnlich AddOutputFilterByType DEFLATE text/html text/plain text/xml application/javascript text/css
existiert,
empfehlen wir Ihnen alle Typen zu entfernen, die möglicherweise dynamisch generiert werden. In der Regel ist das text/html
.
Im Zweifelsfall konsultieren Sie Sicherheitsspezialisten oder entfernen Sie die Zeile komplett. Bitte haben Sie Verständnis, dass wir über diese allgemeinen Hinweise hinaus keine individuelle Sicherheitsberatung durchführen können.
Neben Outlook und Thunderbird ist die Software eM Client einer der beliebtesten E-Mail-Clients im deutschsprachigen…
Seit ihrer Einführung im Jahr 2011 waren .xxx-Domains nur für Unternehmen und Anbieter aus der…
Wir freuen uns, Ihnen ein praktisches neues Feature vorstellen zu können: Ab sofort können Sie…
Ab dem 19.05.2025 sind die drei neuen Top-Level-Domains .free, .hot und .spot frei registrierbar. Inhaber:innen…
Ab dem 05. März 2025 werden wir keine unverschlüsselten Verbindungen und keine Verbindungen mit den…
Aufgrund geänderter Einkaufspreise durch die Registrierungsstellen müssen wir die Preise von rund 200 unserer Top-Level-Domains…